Google公開披露了七個(gè)小時(shí)后����,發(fā)布了一個(gè)影響Gmail和G Suite的電子郵件欺騙漏洞的補(bǔ)丁���,但該技術(shù)巨頭自4月以來就知道該漏洞�����。
研究人員艾莉森·侯賽因(Allison Husain)于周三披露了該漏洞���,他在博客中描述了她的發(fā)現(xiàn)��,并分享了概念驗(yàn)證(PoC)代碼��。該問題與配置郵件路由時(shí)缺少驗(yàn)證有關(guān)����,可能已被攻擊者利用���,以繞過DMARC和SPF之類的保護(hù)機(jī)制���,以另一個(gè)Gmail或G Suite用戶身份發(fā)送電子郵件。
侯賽因通過使用她的個(gè)人G Suite網(wǎng)域向她不受控制的域的G Suite電子郵件帳戶發(fā)送了一封電子郵件���,該電子郵件顯然來自@ google.com地址��,從而證明了她的發(fā)現(xiàn)����。
“我選擇發(fā)送到另一個(gè)G Suite帳戶��,以證明Google強(qiáng)大的郵件過濾和反垃圾郵件技術(shù)不會(huì)阻止或檢測到這種攻擊���,”研究人員解釋說��。“此外�,我之所以假冒google.com是因?yàn)樗麄兊腄MARC政策設(shè)置為p = reject�,因此任何違反SPF的行為(無論SPF政策如何)都應(yīng)導(dǎo)致該消息只是帶有偏見而被丟棄���!
攻擊利用了與郵件路由規(guī)則相關(guān)的弱點(diǎn)��,攻擊者可能會(huì)利用該弱點(diǎn)來“中繼欺詐郵件并賦予其真實(shí)性”����。
該安全漏洞已于4月3日報(bào)告給Google�,該公司于4月16日確認(rèn)此漏洞,并指定了優(yōu)先級和嚴(yán)重等級為“ 2”����。Google后來將該漏洞標(biāo)記為重復(fù),但仍未推出補(bǔ)丁����。8月1日�����,侯賽因通知公司��,她將于8月17日將調(diào)查結(jié)果公開��。
Google告訴她�,它將在9月17日發(fā)布補(bǔ)丁���,但實(shí)際上它是在得知其詳細(xì)信息后137天�����,即在其詳細(xì)信息公開七個(gè)小時(shí)后解決了該問題���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
